Lockdown, la nova adopció de el nucli de Linux per limitar l'accés root a l'nucli

Darkcrizt

4 minuts

Linux Kernel

Es va donar a conèixer recentment la notícia que Linus Torvalds va adoptar un nou component, el qual serà inclòs en una versió futura de el nucli de "Linux 5.4" aquest nou component té com a nom «Lockdown» el qual va ser proposat per David Howells (Que ja anteriorment és el que ha implementat aquest component en el nucli de Red Hat) i Matthew Garrett (desenvolupador de Google).

La funció principal d'lockdown és limitar l'accés de l'usuari root en el nucli de sistema i aquesta funcionalitat s'ha mogut a l'mòdul LSM carregat opcionalment (Linux Security Module), que estableix una barrera entre l'UID 0 i el nucli, Limitant certes funcions de baix nivell.

Això permet que la funció de bloqueig estigui basada en polítiques en lloc de codificar una política implícita dins de l'mecanisme, amb el que el bloqueig inclòs en Linux Security Module proporciona una implementació amb una simple política destinada a ús general. Aquesta política proporciona un nivell de granularitat controlable a través de la línia d'ordres de l'nucli.

Aquesta protecció d'accés a l'Nucli és a causa que:

Si un atacant aconsegueix executar codi amb privilegis de root com a resultat de l'atac, també pot executar el seu codi a nivell de el nucli, per exemple, reemplaçant el nucli amb kexec o llegint i / o escrivint memòria mitjançant / dev / kmem.

La conseqüència més òbvia d'aquesta activitat pot ser ometre l'arrencada segur UEFI o recuperar dades confidencials emmagatzemades a nivell de l'nucli.

inicialment, les funcions de restricció de root es van desenvolupar en el context d'enfortir la protecció de l'arrencada verificat i les distribucions han estat utilitzant pegats de tercers durant molt de temps per bloquejar la derivació d'arrencada segur UEFI.

Alhora, aquestes restriccions no es van incloure en la composició central de l'nucli causa dels desacords en la seva implementació i la por a la interrupció dels sistemes existents. El mòdul de «lockdown» incorpora pegats ja utilitzats en distribucions, que es van processar en forma d'un subsistema separat que no està vinculat a l'arrencada segur UEFI.

Quan està habilitat, diverses peces de la funcionalitat de l'nucli estan restringides. Pel que les aplicacions que depenen de l'accés de baix nivell a el maquinari o a l'el nucli pot deixar de funcionar com a resultat, per tant, això no hauria de ser habilitat sense una avaluació adequada per endavant. Comenta Linus Torvalds.

En mode de bloqueig, restringeix l'accés a / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debugfs, debugfs kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (card information secure), alguns ACPI i els registres MSR de la CPU, les anomenades kexec_file i kexec_load estan bloquejades, la manera de suspensió està prohibit, l'ús de DMA per a dispositius PCI està limitat, la importació de codi ACPI des variables EFI està prohibida, les manipulacions amb ports d'entrada / sortida, inclòs el canvi de el nombre d'interrupció i el port d'entrada / sortida per port sèrie no estan permesos.

Per defecte, el mòdul de bloqueig no està actiu; es crea quan l'opció SECURITY_LOCKDOWN_LSM s'especifica en KConfig i s'activa mitjançant el paràmetre de nucli «lockdown =», l'arxiu de control «/ sys / kernel / security / lockdown» o les opcions de compilació LOCK_DOWN_KERNEL_FORCE_ *, que pot prendre els valors de «integritat» i «confidencialitat».

En el primer cas, les funcions que permeten realitzar canvis en el nucli de treball des de l'espai de l'usuari estan bloquejades, i en el segon cas, a més d'això, la funcionalitat que es pot utilitzar per extreure informació confidencial de l'nucli està desactivada.

És important tenir en compte que el bloqueig només limita les capacitats regulars d'accés a l'nucli, però no protegeix contra modificacions com a resultat de l'explotació de vulnerabilitats. Per bloquejar els canvis en el nucli en funcionament quan el projecte Openwall utilitza gestes, s'està desenvolupant un mòdul LKRG (Linux Kernel Runtime Guard) separat.

La funció lockdown ha tingut comentaris i revisions de disseny importants en molts subsistemes. Aquest codi ha estat en Linux-next durant algunes setmanes, amb algunes correccions aplicades en el camí.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   01x01 va dir
    fa 5 anys

    Root hauria de ser més que un déu. hauria de ser el tot poderós.
    però sembla que volen limitar el dret de l'usuari legítim Root en favor d'ells
    malament anem quan «el circ de la seguretat» s'usa per limitar les llibertats d'ús i maneig.
    malament anem quan el nucli no és mes que una còpia de la metedologia de windolais i macais

    Respondre a 01x01